Defaults.Exposed › Konfiguracja › SPF

Jak skonfigurować SPF w Microsoft 365

Dodaj rekord SPF, aby cały świat wiedział, że serwery Microsoft 365 mają prawo wysyłać pocztę dla Twojej domeny.

Dlaczego to ważne dla Twojej firmy

SPF (Sender Policy Framework) to krótki wpis w DNS Twojej domeny, który wymienia serwery pocztowe uprawnione do wysyłania wiadomości „w imieniu” Twojej domeny. Bez niego oszuści mogą podszywać się pod Twój adres i rozsyłać do Twoich klientów i dostawców fałszywe faktury, prośby o płatność czy podrobione oferty — a Twoje własne, prawdziwe e-maile częściej lądują w spamie. Konfiguracja SPF jest darmowa, zajmuje kilka minut i należy do najskuteczniejszych oraz najtańszych sposobów na ochronę dobrego imienia firmy i utrzymanie dostarczalności poczty.

Ważne: gdzie to się naprawdę robi

Wiele osób się na tym potyka, więc warto wyjaśnić jasno:

• Microsoft 365 obsługuje Twoją pocztę (skrzynki działają na Exchange Online). Ale Microsoft 365 to platforma pocztowa — niekoniecznie miejsce, w którym mieszka DNS Twojej domeny.
• Rekord SPF dodaje się u hosta DNS — w firmie, która kontroluje serwery nazw (nameservery) Twojej domeny. Może to być rejestrator, u którego kupiłeś domenę (GoDaddy, Namecheap itp.), hosting WWW lub coś w rodzaju Cloudflare.
• Jeśli pozwolisz Microsoftowi zarządzać Twoim DNS, to Twoim hostem DNS jest Microsoft i rekord będziesz edytować w centrum administracyjnym Microsoft 365 → Ustawienia → Domeny → Rekordy DNS. W takim przypadku Microsoft często sam dodaje poprawny rekord SPF automatycznie przy konfiguracji domeny.

Czyli: Microsoft mówi Ci, co ma zawierać rekord; Ty dodajesz go tam, gdzie mieszka Twój DNS. Ustawienia skrzynki w Microsoft 365 nie przechowują tego rekordu, chyba że Microsoft prowadzi też Twój DNS.

Najpierw: która firma obsługuje Twój DNS?

Rekord DNS zadziała tylko wtedy, gdy dodasz go tam, gdzie wskazują serwery nazw (nameservery) Twojej domeny. Jeśli nie masz pewności, sprawdź domenę w koncie rejestratora i zajrzyj do sekcji Nameservers, albo zapytaj osobę, która stawiała Twoją stronę. Jeśli nameservery wskazują gdzieś indziej niż Microsoft, dodaj rekord SPF w ustawieniach DNS tamtej firmy (szukaj DNS / Records / Advanced DNS). Dodanie go w niewłaściwym miejscu nic nie da.

Co dodasz

Pojedynczy rekord TXT dla Microsoft 365. Standardowa wartość to:

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com autoryzuje serwery pocztowe Microsoft 365 do wysyłania w Twoim imieniu.
• -all to wartość zalecana przez Microsoft — „twardy fail” (hard fail), który każe odbiorcom odrzucać wszystko, czego nie ma na liście. Jeśli nie masz jeszcze pewności, że uwzględnieni są wszyscy nadawcy, możesz zacząć od łagodniejszego ~all i zaostrzyć do -all później.

Na jedną domenę powinien przypadać tylko jeden rekord SPF (jeden TXT zaczynający się od v=spf1). Jeśli już go masz — na przykład dlatego, że wysyłasz też przez narzędzie do newsletterów lub CRM — nie dodawaj drugiego. Edytuj istniejący i dopisz do niego część Microsoftu, np.:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Kroki

1. Zaloguj się do swojego hosta DNS (rejestratora, hostingu WWW lub dostawcy DNS — albo do centrum administracyjnego Microsoft 365, jeśli to Microsoft prowadzi Twój DNS).
2. Otwórz ustawienia DNS dla swojej domeny (szukaj DNS / Records / Advanced DNS).
3. Dodaj nowy rekord i jako typ wybierz TXT.
4. W polu Name / Host wpisz @ (oznacza to „samą domenę”). Nie wpisuj tu pełnej nazwy domeny.
5. W polu Value / Data wklej v=spf1 include:spf.protection.outlook.com -all (lub swój połączony rekord, jeśli masz innych nadawców).
6. Pozostaw TTL na wartości domyślnej (1 godzina jest w porządku).
7. Zapisz.

Pułapki, w które ludzie wpadają

• To nie jest ustawienie skrzynki. Ludzie szukają „SPF” w ustawieniach Microsoft 365 i nie mogą znaleźć pola do wpisania — bo należy to do DNS, a nie do ustawień skrzynki czy administracji Exchange.
• Tylko jeden rekord SPF. Dwa rekordy zaczynające się od v=spf1 całkowicie psują SPF. Połącz nadawców w jeden rekord, dopisując kolejne wpisy include:.
• @ w polu nazwy, nie Twoja domena. Wpisanie pełnej domeny w polu Name może utworzyć rekord w niewłaściwym miejscu.
• Uważaj na cudzysłowy. Większość hostów DNS dodaje cudzysłowy za Ciebie — wklej wartość jako zwykły tekst. Jeśli Twój host pokazuje wartość już ujętą w "...", nie dodawaj drugiej pary; podwójnie cytowany rekord jest uszkodzony.
• Microsoft używa spf.protection.outlook.com. Starsze lub skopiowane skądinąd rekordy mogą wskazywać inne nazwy hostów — upewnij się, że include to dokładnie spf.protection.outlook.com.
• Zmiany nie są natychmiastowe. Propagacja DNS może potrwać od kilku minut do nawet kilku godzin.

Sprawdź, czy zadziałało

Po zapisaniu potwierdź, że rekord jest aktywny i poprawny, korzystając z darmowego testu na Defaults.Exposed. Wpisz swoją domenę, a otrzymasz prostą informację, czy SPF jest skonfigurowany prawidłowo. Twoje dane są przetwarzane w UE.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.